<div dir="auto">+1 for requirering https. </div><br><div class="gmail_quote"><div dir="ltr">2018年6月21日(木) 15:17 Vladimir Dzhuvinov via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">New issue 1030: Front & back-channel logout: HTTPS URIs?<br>
<a href="https://bitbucket.org/openid/connect/issues/1030/front-back-channel-logout-https-uris" rel="noreferrer noreferrer" target="_blank">https://bitbucket.org/openid/connect/issues/1030/front-back-channel-logout-https-uris</a><br>
<br>
Vladimir Dzhuvinov:<br>
<br>
Shouldn't the logout specs include normative language about the use of HTTPS for logout URIs? Or at least outline the possible issues with plain vs HTTPS logout URIs in the "Security Considerations"?<br>
<br>
My suggestion is to have HTTPS REQUIRED (or at least RECOMMENDED) for front-channel logout, for privacy and confidentiality reasons, and also to make it possible for the OP to render the logout iframe without complications (browsers normally block non-HTTPS iframes in HTML served with HTTPS).<br>
<br>
Similarly for back-channel logout, where the logout token can be a JWS without additional JWE (or even `alg:none`).<br>
<br>
<br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank" rel="noreferrer">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</blockquote></div>